CTFHub Web 信息泄露题目 Git泄露(log,stash,index)

最新推荐文章于 2024-07-28 00:43:14 发布
最新推荐文章于 2024-07-28 00:43:14 发布
阅读量5.3k 收藏 22
点赞数 11
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bailuy/article/details/108526723
版权

CTFHub Web 信息泄露题目 Git泄露(log,stash,index)

1.log

当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。

在这里插入图片描述

这里需要用到python脚本:GitHack

也可以先dirsearch扫描一下,但其实扫不扫描都无所谓,因为你一定能扫出来有git泄露,我们就直接githack

python GitHack.py <url>(url格式:http(s)://XXX/.git/)

在这里插入图片描述

不同的githack版本命令可能会有差别

githack处理之后就会在dist文件夹中看到一个文件

在这里插入图片描述

打开它进去运行终端,使用

git log 命令

在这里插入图片描述
可以看到当前所处的版本为 remove flag,flag 在 add flag 这次提交中

 使用 git show 命令

即可看到flag

在这里插入图片描述

2.stash

在这里插入图片描述

先githack一下,进入dist文件中打开里面的那个文件

在这里插入图片描述

在里面运行终端,输入git stash list

在这里插入图片描述

发现有stash,然后使用git stash pop,发现在这个文件里面多出来一个txt文件

在这里插入图片描述
在这里插入图片描述

打开这个文件,flag就有啦!

在这里插入图片描述

3.index

在这里插入图片描述

let's go!

首先还是githack处理一下,打开dist里的这个文件,运行终端

在这里插入图片描述

使用命令 git log 查看历史记录,然后使用 git diff进行比对,即可看到flag

在这里插入图片描述

其中,git diff后面的那一串就是上面git log中add flag的这次提交

在这里插入图片描述

Good Game!
百鹿原
关注
  • 11
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
CTFHub Web/信息泄露/git泄露/log 遇到的问题
weixin_51369712的博客
10-07 1386
一些简单ctfhub上的题目的低级错误
CTF-git泄露漏洞
zhoess的博客
06-24 3033
CTF git泄露漏洞前言一、git泄露漏洞 是什么?二、题目三、软件1.git2.读入数据总结 前言 关于CTF git泄露题目的做法之一 一、git泄露漏洞 是什么? 当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。 二、题目 三、软件 1.git ‘’’ ‘’’ 代码如下(示例): 2.读入数据 代码如下(示例): data = pd.read_csv( 'https://labfile.oss.al
CTFHub:web前置技能-信息泄露-Git泄露-Stash
wdnmddbl的博客
06-06 870
路漫漫其修远兮,吾将上下而求索。本文涉及以下知识点,去引用文章学习即可:链接:这是一个知识点链接:这是一个知识点当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。请尝试使用BugScanTeam的GitHack完成本题,自行下载此题工具:链接:GitHack工具下载点我(此工具已归档,文章后我会提供另一种差不多,但更方便的工具)
CTFHub-Git泄露-index
feng的博客
09-03 1829
CTFHub-Git泄露-index 前言 本来以为git中的index是类似Web中网站的index的,后来一查才知道是暂存区。 知识点 关于这题相关的知识点,可以参考下面的博客: index 重点就是其中的git checkout-index命令。 WP 还是老样子,dirsearch,然后githack,之后尝试一些方法不行,按照提示直奔index而去。用记事本打开index,发现乱码,用cat打开也是乱码,估计是看不了了,然后使用git checkout-index命令,检出暂存区中的文件到工作区,
ctf.show 敏感信息泄漏20题
最新发布
m0_74412122的博客
07-28 398
是由于运行git init初始化代码库的时候,会在当前目录下面产生一个.git的隐藏文件,用来记录代码的变更记录等等。6.在网址后面加上/www.zip,打开下载的压缩包,php文件说flag在txt中,实际上txt中并没有。9.vim意外退出会留下.swap备份文件,网站后+/index.php.swp得到flag。5.直接在网址后面加上/index.phps,出来一个文件,打开找到flag。4.在网址后面加上后缀/robots.txt访问,找到flag。7.直接在后面加/.git/得到flag。
CTFHUB中的git泄露
kllwlick的博客
03-07 3318
这里写自定义目录标题CTFHUB上的git泄露题目 CTFHUB上的git泄露题目 自己在刷CTFHUB上的题目时,遇到三道git泄露题目,同时也第一次使用GitHack来解题,以下是题目的解法。 1.安装GitHack工具,这里推荐使用git clone的方法,在终端下输入命令git clone https://github.com/BugScanTeam/GitHack即可 2.使用GitHack来对网站进行扫描,首先打开GitHack的安装目录,然后使用python GitHack.py+网址+.
CTFHub-web(Git泄露)
分享与记录
08-25 6978
当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。 Gir泄露LogStash解法一:解法二:index Log 1. 使用dirsearch扫描,发现git泄露 python dirsearch.py -u http://challenge-3d5f95fbd136fa99.sandbox.ctfhub.com:10080/ -e * 2. 使用GItHack获取源码 这里要确保是python2版本 pytho
[CTFHub]Stashweb信息泄露Git泄露
ZXW_NUDT的博客
05-08 544
首先用dirsearch扫描↓
CTFhub技能树web-Git泄露
Mccc_li的博客
04-04 1229
1.log 使用dirsearch扫描一下网站: 在git/log中可以看到add flag版本 用Githack下载项目 再用git diff HEAD^查看flag
CTFHub信息泄露Git
m0_57379855的博客
03-26 703
CTFHub信息泄露GitlogStashgit loggit stash popIndex直接查看文件git log log 打开查看源码 有提示.get 把GitHack下载打包进Kali 根据命令下载该文件 下载成功 进入dist目录,查看已下载目录 进入该目录,并查看 进入.git目录,输入命令git log 发现add flag字眼 返回上一级目录,通过diff对应的commit,获得flag Stash 没成功,但是用下面的两个方法成功 git log git sta
ctfhub web 信息泄露 git泄露 Stash
cuddlylm的博客
06-08 282
当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。 虽然昨天用desearch这个工具不彳亍,但是今天还是给他一次机会。 可以看到是git泄露(其实根据题目就知道是git泄露,但还是走个流程) 然后用githack python GitHack.py http://challenge-d0475190280f917d.sandbox.ctfhub.com:10800/.git 进入到这个文件夹,在这里打开终端 然后
Git泄露(.git leakage)(git logStash储藏)+ [CTFHub]Git泄露系列writeup
ShenZ的博客
09-07 1894
Git泄露 .git leakage 当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。 .git文件夹中 hooks:存放一些shell脚本 info:存放仓库的全局性排除文件信息 logs:保存所有更新的引用记录 objects:存放所有的git对象 refs:存储指向分支的提交对象的指针 config:仓库的配置信息 index:暂存区(二进制) HEAD:映射到ref的引用 工具 githack pytho
ctfhub web 信息泄露 git泄露 log
cuddlylm的博客
06-07 305
当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。 先用dirsearch扫描一下,dirsearch用法参见:https://www.jianshu.com/p/5d99bafb1547 此处命令: python dirsearch.py -u https://www.example.com/ -e php 貌似没有什么有用的内容,试了很多办法,但是返回状态码都是503,这个问题以后在解决,直接用githack
ctfhub 技能树 信息泄露 git泄露
haoxue__的博客
04-04 3385
ctfhub 技能树 信息泄露 git泄露 知识学习 git log 命令用于显示提交日志信息git show 命令用于显示各种类型的对象。 git stash list 当要记录工作目录和索引的当前状态,但想要返回到干净的工作目录时,则使用git stash。 该命令保存本地修改,并恢复工作目录以匹配HEAD提交 这个命令所储藏的修改可以使用git stash list列出 git stash pop 从git栈中获取到最近一次stash进去的内容,恢复工作区的内容.获取之后,会删除栈中对应的st
CTF整理】CTFhub技能树-Web-信息泄露-Git泄露
SunnyCat
05-10 3535
CTF整理】CTFhub-Web-信息泄露-Git泄露 一、 log 进入界面,得到一个url,根据提示直接开干 1、使用dirsearch扫描url,发现url低下存在敏感文件.git python3 dirsearch.py -u <url> -e * 2、使用GitHack进行文件恢复【这里需要将扫描到的.git加在url后面】,然后在GitHack所在目录下的dist目录下得到恢复的文件。 python2 GitHack.py <url> (url格式:http(
CTFHub | Stash
尼泊罗河伯的博客
10-09 1284
根据题目描述内容,此题与之前的 log 类似,应该是了解对 git 的使用。在解题 log 时使用了工具 GitHack 将网页目录 clone 到本地目录下,然后在 clone 的目录下使用 log 命令查看历史记录,并发现 add flag 中存在 flag 。那么此题思路与前面题目一致,同样在查看历史记录时发现 add flag 中存在一个未知的文本文件,怀疑 flag 存在于文本文件中,通过对 git 命令的学习以及题目的提示,使用 git stash pop 命令可以恢复文件。查看发现此题flag
CTFHub | web——Git泄露StashIndex
2301_76435948的博客
10-24 654
当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。这一次学聪明了,不懂会先去查本题的题目类型了,哈哈哈!先去查一波stash,因为此题很可能需要用到git操作的stash工具。对于这题,和上面一题常规流程,打开GitHack,扫描该网址,就出现一个txt文件,打开就是flag。
ctfhub技能树——信息泄露——git泄露——Log
qq_46222050的博客
08-24 2168
我们首先了解什么是git泄露 当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。 我们打开环境,查看页面。 使用githack工具对网址进行扫描(githack只能在python2中运行,还要安装git!!!网上有教程,一定要配好环境,当时吃了很多苦头,我是在虚拟机上运行的,因为我电脑上已经有了python3。) 生成一个dist文件夹 ,文件夹里面还有一个文件夹,我们进去按住shift右键打开命令行。 使用gi
CTFHub技能树web(持续更新)--web信息泄露--Git泄露--Log
jiuyongpinyin的博客
08-08 441
Log 按照管理查看源码,没什么有用的,使用dirsearch扫描: 发现存在git文件泄露,使用GitHack工具: 扫描出来这两个,我做到这就不知道该怎么做了,参考了大佬的文章才知道,原来是可以通过命令查看的: 通过git log 查看日志,发现有一个add flag很可疑,接着我们让工作区和暂存区作比较: 得到flag 参考链接: https://www.cnblogs.com/anweilx/p/12453703.html 工具链接: https://github.com/BugScanT
ctfhub-git泄漏stash
09-13
使用GitHack工具进行CTFHUB上的git泄露题目的解答包括以下步骤: 1. 首先,你需要安装GitHack工具。推荐使用git clone的方法来安装,只需要在终端输入命令`git clone https://github.com/BugScanTeam/GitHack`即可。 2. 安装完成后,使用GitHack对目标网站进行扫描。打开GitHack的安装目录,然后使用命令`python GitHack.py 网址 .git/`进行扫描。 3. 扫描完成后,会生成一个存储结果的目录。进入该目录,在终端中使用命令`git log`来获得文件的日志信息。通过观察日志信息,可以找到文件在哪个版本添加了flag。 4. 接下来,使用`git reset --hard commit版本号`命令来回退到相应的版本,以查看flag文件。 5. 在正确版本回退之后,你会在原来的结果目录下找到一个之前没有的.txt文件,打开即可获得flag。 对于git stash的操作,涉及到解答CTFHUB-git泄露题目stash问题,可以按照以下步骤进行: 1. 首先,打开题目环境并使用GitHack工具进行扫描。 2. 扫描完成后,进入结果目录。按住Shift键并单击鼠标右键,选择"Git Bash Here",然后执行`git stash list`命令来查看stash了哪些存储。 3. 如果需要恢复最近一次stash进去的内容,可以执行`git stash pop`命令。这将恢复工作区的内容。 总结一下,git stash的作用是用于保存当前的修改,同时回到之前最后一次提交的干净的工作仓库状态。它将本地的修改保存起来,并将当前代码切换到最后一次提交的状态。
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值